横向移动
本文约需 2 分钟阅读
ラテラルムーブメント (Lateral Movement) とは、攻撃者がネットワーク内の 最初の足がかりを確保した後、より価値の高いシステムやデータに到達するために ネットワーク内を横方向に移動する攻撃手法です。最初に侵害されるのは 一般ユーザーの端末であることが多く、そこから管理者権限の奪取やドメイン コントローラーへの到達を目指して段階的に移動します。ランサムウェア攻撃では、 ラテラルムーブメントによって組織全体のシステムに暗号化を拡散させるため、 この段階での検知と遮断が被害規模を決定づけます。
キルチェーンにおける位置づけ
サイバーキルチェーンの フレームワークでは、ラテラルムーブメントは初期侵入 (Initial Access) と 目的達成 (Actions on Objectives) の間に位置します。攻撃者は偵察、武器化、 配送、エクスプロイト、インストールを経て足がかりを確保し、そこから ラテラルムーブメントで高価値ターゲットに接近します。
代表的な手法
攻撃者はラテラルムーブメントにさまざまな手法を用います。いずれも正規の 認証メカニズムや管理ツールを悪用するため、通常のトラフィックとの区別が 困難です。
パスワードのハッシュ値をそのまま認証に使用する手法。NTLM 認証の仕様を 悪用し、平文パスワードを知らなくても他のマシンにログインできる。
Kerberos 認証チケット (TGT/TGS) を窃取・再利用する手法。Active Directory 環境で特に有効で、ドメイン内の任意のサービスにアクセスできる。
窃取した認証情報でリモートデスクトップや SSH に接続し、別のマシンを 直接操作する。正規の管理ツールを使うため検知が難しい。
Active Directory の悪用
Windows 環境の Active Directory (AD) はラテラルムーブメントの主戦場です。 AD はドメイン内のすべてのユーザー、コンピューター、グループポリシーを 一元管理しているため、ドメインコントローラーを掌握されると組織全体が 陥落します。攻撃者は Mimikatz などのツールでメモリ上の認証情報を抽出し、 Golden Ticket 攻撃でドメイン管理者権限を永続的に確保します。IAM の観点から、 特権アカウントの保護と認証情報のローテーションが極めて重要です。
マイクロセグメンテーションによる防御
ネットワークセグメンテーションを さらに細分化したマイクロセグメンテーションは、ラテラルムーブメントに対する 最も効果的な防御策の一つです。ワークロード単位でセグメントを分離し、 セグメント間の通信を厳密に制御することで、攻撃者が 1 台のマシンを侵害しても 隣接するマシンへの移動を物理的に遮断します。ゼロトラストアーキテクチャの 中核要素であり、クラウドネイティブ環境ではソフトウェア定義のマイクロ セグメンテーションが標準的なアプローチになりつつあります。
EDR / NDR による検知
EDR (Endpoint Detection and Response) はエンドポイント上の不審なプロセス 実行やファイルアクセスを監視し、ラテラルムーブメントの兆候を検知します。 NDR (Network Detection and Response) はネットワークトラフィックを分析し、 通常とは異なる内部通信パターン (たとえば、一般ユーザーの端末からドメイン コントローラーへの直接接続) を検出します。両者を組み合わせることで、 エンドポイントとネットワークの両面からラテラルムーブメントを捕捉できます。サイバー攻撃防御の関連書籍 (Amazon)で検知技術の詳細を学べます。
現場での使用例
「フィッシングメール経由で 1 台の端末が侵害されましたが、マイクロ セグメンテーションにより攻撃者の横移動が遮断され、被害はその 1 台に 限定されました。EDR のアラートで侵害を 15 分以内に検知し、端末を ネットワークから隔離して封じ込めに成功しました。」
ランサムウェア対策はランサムウェア防御の記事で、 内部脅威への対応は内部脅威対策の記事で、 ゼロトラストの実装はゼロトラストセキュリティの記事で 詳しく解説しています。
这篇文章对您有帮助吗?